“La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.”

“El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. Se desarrollará y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan.”

Se ha demostrado que el eslabón más débil de los sistemas es el factor humano. Ante esto se define la manera en que las contraseñas deben ser manejadas y la actuación que los gestores de contraseñas para poder resguardar los datos y ser parte de la ecuación que da como resultado sistemas más seguros.

En este documento anexo hemos preparado un PDF gráfico que permite entender la manera correcta de resguardar las passwords y cómo LastPass funge como uno de los gestores válidos para el ENS. Recordando que esto es absolutamente necesario para la administración pública y todos los entes que quieran trabajar para ella.

Usando LastPass para cumplir los requisitos del Esquema Nacional de Seguridad (ENS)

La información que contiene es muy valiosa y necesaria para superar con éxito las exigencias del ENS. Te invitamos a leerlo, es una lectura de unos 8 minutos.

Para conocer todo lo que LastPass puede aportar a tu organización completa el siguiente formulario y obtén una prueba gratis sin compromisos.

Esquema Nacional de Seguridad o ENS, citando la propia web del Centro Criptográfico Nacional tenemos: “El Esquema Nacional de Seguridad (ENS) proporciona al Sector Público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas”.

Desde el año 2007 el ENS ha comenzado a preocuparse por la inclusión de los organismos públicos en el entorno digital, entendiendo que el futuro de la sociedad de la información nos llevaría a lo que hoy, después de 14 años es el día a día.

El objetivo central del ENS se basa en crear las condiciones óptimas de seguridad para el uso de los medios electrónicos. Forjando elementos que permitan garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Siempre con la responsabilidad del resguardo de los derechos y el cumplimiento de deberes en medios digitales.

Llegados a este punto es probable que el lector frecuente se pregunte, ¿Pero qué tiene esto que ver con los gestores de contraseñas? Muchísimo, veamos un poco.

Esquema Nacional de Seguridad (ENS) y los gestores de contraseñas

La gestión de contraseñas es uno de los aspectos más delicados en los métodos de acceso a las distintas cuentas, servicios y sistemas. Si nos basamos en los organismos oficiales podemos ver que llevan años haciendo énfasis sobre el uso correcto de los passwords. Y no solo eso, también hay manuales como el de Contraseñas – políticas de seguridad para la PYME de INCIBE o las normas de creación y uso de contraseñas NP40 de CCN-STIC.

Tomando de punto de partida las normas de creación y uso de contraseñas del CCN-STIC, se establece que no está permitido anotar las contraseñas en papel o en contenedores que no sean seguros. ーEso deja por fuera la práctica de apuntarlas en un post-it y tenerlo pegado a la pantalla.ー Sin embargo no se descarta la posibilidad de tomar notas para no dejar la tarea de recordarlas en resguardo de la memoria, para eso se deben cumplir alguna de las dos condiciones:

• Si se apuntan en un fichero digital es necesario que esté cifrado como el caso de los gestores de contraseñas.
• En caso de apuntarse en papel debe estar resguardado en una caja fuerte.

Ante las dos opciones posibles no es de extrañar que las organizaciones apunten al uso de gestores de contraseñas por ofrecer la mejor solución.

Las contraseñas deben ser de carácter confidencial y su resguardo debe ser hecho con todas las medidas de seguridad posibles. Se exige que el usuario tenga contraseñas largas, complejas y distintas para cada servicio, aplicación o rol y que estén bajo el control exclusivo del usuario. Adicionalmente deben ser modificadas con una periodicidad frecuente y que cumplan con las mínimas reglas de calidad.

Veamos por un momento lo que sería la correcta gestión de contraseñas si no se usa una herramienta digital para tal fin…

Imagina por un momento tener una caja fuerte para cada empleado, resguardada por el departamento de seguridad. Dentro de ellas una libreta donde apunten contraseñas como estas: sY!4kXaNrpGY, @T#No5Y5GLDG, Me$Inventé%Un&Password o LijadoraFácilCanción. Una distinta para las más de 90 aplicaciones que está demostrado usan muchos de los profesionales. Además de ser una tarea poco funcional, el tiempo perdido en la búsqueda del soporte impreso y apertura de la caja fuerte, el encontrar de un listado la contraseña correcta, introducirla en el dispositivo y las llamadas constantes al departamento de TI por no poder acceder a las aplicaciones. Eso sin olvidar que sería necesario llamar a un cerrajero para cambiar la combinación de la caja fuerte si el empleado deja de formar parte de la organización… Sin duda este no puede ser el camino más funcional.

Estos son los dos caminos ofrecidos por los auditores de ENS, el no cumplimiento de alguna de estas opciones puede derivar en no conseguir la acreditación ENS dentro de la AAPP y/o proveedores.

Comparativa de las opciones dadas por el ENS para el cumplimiento de la correcta gestión de contraseñas

En la siguiente infografía vamos a comparar las dos alternativas que ofrece el ENS en su manifiesto en materia de la gestión de las contraseñas.

Se evidencia una notable ventaja al hacer uso de los servicios de gestión automatizada de contraseñas. Después de todo, estamos tratando datos digitales y mejorando los entornos virtuales, no es de sorprender que la mejor solución venga de la mano del mismo ecosistema.

¿El ENS está en lo correcto con el tratamiento tan exigente de las contraseñas?

Durante el 2021 las cifras de ataques y vulnerabilidades han crecido de forma exponencial. Y no solo eso, durante este año los ciberdelincuentes han obtenido millones de euros gracias a sus prácticas delictivas sobre empresas y organizaciones a nivel mundial. ¿Qué significa esto? básicamente dos cosas, tienen dinero para invertir en tecnología e incrementar los ataques. Y paralelamente tienen motivación por un año tan fructífero.

Si recordamos que España es el tercer país del mundo más propenso a sufrir ciberataques debemos comprender que es momento de cuidarse y cuidar los datos de las organizaciones y sus clientes o usuarios. Al tener esto en mente no es de extrañar que deba cumplirse el ENS dentro de la administración pública. Y no termina ahí, esto debe cumplirse para cualquier proveedor que ofrezca o quiera ofrecer productos y servicios a estos entes.

En la actualidad vivimos rodeados de usuarios y contraseñas, tomando en cuenta que el primero de ellos es bastante público, entonces es necesario resguardar las passwords con todas las medidas de seguridad posibles dado que es el verdadero eslabón que ofrece la protección. 

He leído y sabido de comentarios como este, “si anoto las contraseñas en un papel o una libreta ya estarán resguardadas”. Hace poco vimos en la guía de ciberamenazas como uno de los métodos de ingeniería social es el Shoulder Surfing o ver sobre las espaldas. ¿Qué pasaría si alguien cercano es el que pretende vulnerar los sistemas?. Lamentablemente las amenazas no son solo externas, un número considerable de ataques cuentan con complicidad interna o vienen directamente de dentro de las organizaciones.

Preparados en todo momento ante posibles auditorías de ENS

Una empresa debe estar preparada en todo momento para una auditoría ENS. Se han visto casos donde no se ha conseguido la conformidad por haber sacado contraseñas de un papel o abrir un archivo txt con passwords al momento de estar compartiendo pantalla.

En la actualidad son muchas las aplicaciones y servicios web donde es necesario compartir contraseñas, esto suele pasar en el departamento de TI y los administradores de la entidad. A pesar de que la guía señala que no deben compartirse, el hacerlo por medio de un gestor de contraseñas es la manera en que los auditores lo aprueban.

LassPast como gestor de contraseñas que cumple los requisitos exigidos por el ENS

Los servidores de LastPass se encuentran en Europa, desde siempre hemos sembrado las bases para poder apegarnos a la normativa solicitada por el ENS. De acuerdo con la “GUÍA ESTRATÉGICA EN SEGURIDAD PARA ENTIDADES LOCALES” cuando se hable de un software de escritorio la solución de gestión de contraseñas debe estar certificada por el ENS, tanto su desarrollo de producto, la implantación y el soporte. Adicionalmente cuando el servicio sea vía web SaaS, es necesario conocer la ubicación de la solución y el mantenimiento o soporte técnico. Todas estas exigencias son superadas por LastPass.

Desde YooSell, como partners de LastPass ofrecemos el gestor de contraseñas necesario para poder superar las auditorías de ENS en cuanto a la gestión de passwords y el desarrollo seguro del producto.

Para conocer más sobre el gestor de contraseñas necesario para superar las auditorías exigidas por los organismos públicos españoles te invitamos a completar el siguiente formulario con el que podrás probar el producto sin compromiso alguno.

¿Qué es la ingeniería social? Tomando como concepto el publicado por INCIBE tenemos: “es una técnica que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas o comprar en sitios web fraudulentos.” Partiendo de lo anterior ya podemos tener una idea clara del concepto general para partir desde este punto con la guía de ciberamenazas.

La idea fundamental es usar todos los recursos y habilidades informáticas o no para engañar a una víctima objetiva.

Vamos a abordar las formas más conocidas de ataque, la manera en que se ejecutan y la forma de prevenirlo. Cerrando con un resumen de buenas practicas para evitar ser víctimas de esta modalidad de engaño.

Formas de ataques de ingeniería social más comunes

Phishing, Vishing y Smishing

Estos ataques se basan en el concepto de “pesca de información” ¿Cuál suele ser el anzuelo? mensajes donde se suplanta la identidad de un ente reconocido como un banco, institución financiera, eCommerce, organismo público, red social, y muchos más. En general se oculta en una marca de confianza para ofrecer promociones extraordinarias, acciones urgentes de actualización de datos, ofertas basadas en necesidades y urgencias médicas entre otros.

El concepto en cada uno de los casos es el mismo, engañar en nombre de una marca de confianza para extraer datos, extorsionar, crear fraudes electrónicos, robar dinero y cualquier forma de afectar a la víctima. Según el medio en que se ejecute se pueden denominar en:

Phishing: El medio de preferencia es el correo electrónico, redes sociales o aplicaciones de mensajería instantánea.

Vishing: En este caso se emplean las llamadas de llamadas de teléfono para cometer los fraudes.

Smishing: El canal que se usa para este tipo de ataques son los SMS.

Recientemente hicimos un artículo dedicado al phishing y suplantación de identidad en redes sociales.  En él puede ampliarse más sobre este ítem y complementar la información de esta guía de ciberamenazas.

Baiting o Gancho

La curiosidad humana es muy grande, esto lo conocen bien los delincuentes informáticos y emplean técnicas para explotar esta característica. Se enfoca en el uso un medio físico para infectar los equipos y redes.

Las memorias USB y pendrives son los más comunes. Los atacantes infectan el dispositivo con malware y lo dejan “accidentalmente” en un lugar donde la víctima pueda tomarlo. La curiosidad humana llevará a que la persona que lo consigue lo introduzca en su equipo para verificar el contenido, una vez hecho esto, ya se encuentra infectado.

Otra de las formas es por medio de anuncios y webs que ofrecen concursos y premios que atraen a los usuarios. Estos al dejarse llevar por la curiosidad terminan dejando sus datos para recibir “la premiación”, sin saber que se trata de una estafa.

Hace unos meses pasaban un programa en la National Geographic dedicado a las estafas telefónicas. Uno de los delincuentes entrevistados indicó que le manda llaves de BMW y Mercedez Bens a sus víctimas para que crean que se han ganado un coche de lujo.

La prevención de este tipo de ataques es similar a la que se aplica en la amenaza anterior de phishing, es necesario estar atentos y no creer tanto en la suerte de conseguir cosas así nada más.

Shoulder Surfing – Mirar por encima del hombro

En esta guía de ciberamenazas nos encontramos con que el factor común de la ingeniería social es el engaño para conseguir los datos sensibles de las víctimas. En este caso se trata de una técnica un tanto rudimentaria pero efectiva, y no es más que esos mirones que mientras alguien está entretenido en la pantalla puede estar cerca para copiar datos sensibles. De este tipo de casos hay muchos memes de parejas que tienen un ojo en sí móvil y otro en el de su acompañante.

La mayoría de las personas piensa en hackers con grandes conocimientos de informática y programación tras los ataques de piratería, pero no siempre es así. Este es un método menos tecnológico pero que da sus resultados. En lo personal no uso un patrón de desbloqueo del móvil precisamente por lo simple que resulta deducirlo para quienes están alrededor.

Para prevenir este tipo de ataques es necesario estar atentos en el entorno donde se usa el móvil o telecajeros. Nuevamente el uso de un gestor de contraseñas puede reducir este tipo de ataques, dado que para ingresar a los servicios y aplicaciones no es necesario introducir contraseñas, el propio gestor las incorpora de manera oculta.

Dumpster Diving o Hurgar en la basura 

La basura de unos es un tesoro para otros, esta es una frase icónica, y en este caso los delincuentes informáticos no escatiman esfuerzos en conseguir las vulnerabilidades de su víctima. Seguramente salta la pregunta de ¿qué tanto puede haber en la basura que me comprometa? piensa si rompiste bien los últimos exámenes médicos que arrojaste al contenedor. Si ese cuaderno viejo que has botado contenía información sobre tus actividades o ingresos. Si ese móvil antiguo que has desechado podía contener aún tu lista de contactos. Si esas hojas de archivo muerto que han decidido lanzar a la basura estaban debidamente trituradas.

La lista puede ser extensa, pero la idea inicial de la guía de ciberamenazas es evidenciar que muchas veces de manera inconsciente botamos documentos, papeles, dispositivos e información que puede resultar valiosa para otros. Tanto es así que hay casos de la vida real de personas que se han hecho famosas por este tipo de ataques, por citar un par de ellos tenemos a Jerry Schneider y Matt Malone.

Para protegerse de estos ataques es necesario tener una correcta conciencia de seguridad y la información sensible que se puede mandar a los contenedores. Por regla las empresas deberían de triturar todos los documentos que vayan a parar a la basura. Al tiempo que los dispositivos de almacenamiento de datos deben ser formateados de manera profunda y preferiblemente destruidos antes de ser desechados.

Spam

Este es uno de los métodos más conocidos, de hecho la mayoría de proveedores de correo electrónico los detecta y coloca en una carpeta aparte. Suelen ser mensajes masivos destinados a listas enormes de contactos sin haber deseado tal información. 

En el común de los casos incluyen ofertas, promociones asombrosas, historias de príncipes africanos que necesitan un rescate, vacunas exclusivas contra el COVID-19 y mucho más, todo depende de la creatividad del ciberdelincuente. Otra de las formas es incluir un malware, que se envía como un archivo adjunto infectado de algún código malicioso.

Prevención de ataques de ingeniería social

En general las recomendaciones son conocidas por la mayoría de los internautas, solo que por razones habituales de los seres humanos, la tendencia a la confianza hace que un alto porcentaje pase por alto estas medidas. Bajar la guardia en materia de ciberseguridad puede dejar abierta la puerta a los delitos informáticos.

Siguiendo las recomendaciones que se presentan en la siguiente imagen es mucho lo que se logran reducir las amenazas, después de todos nadie quiere ser víctima de filtraciones de datos.

En general la mayoría de los ataques de ingeniería social se centran en las emociones humanas y el engaño. Es por ello que es necesario traer un poco de la suspicacia que todos tenemos en el entorno físico al virtual para mantener las alarmas activadas.

Con esto llegamos al final de esta guía de ciberamenazas, recuerda que el gestor de contraseñas LastPass ofrece incluso protección para algunas de las modalidades de este tipo de ataques. Aprovecha y concreta una prueba gratuita para que observes lo simple de su funcionamiento y todo lo que puede hacer para protegerte y facilitarte la vida.

YooSell, como partner de LastPass está enfocada en la ciberseguridad, es por ello que constantemente dedicamos esfuerzos y recursos en alertar a usuarios y organizaciones para tener un internet más seguro. 

Para abordar esta guía de ciberataques vamos a comenzar analizando las amenazas que rodean las contraseñas, cuáles son las formas de ataque más comunes, un test para conocer si es necesario tomar acciones en el resguardo de las passwords, los errores más comunes en el uso de las contraseñas y la forma en que el uso correcto de un gestor de contraseñas resuelve todas estas debilidades.

Ataques vulnerando las contraseñas

Los errores de uso y malos hábitos con el uso de contraseñas es una de las debilidades que explotan los delincuentes digitales para crear amenazas web y en muchos casos comprometer sistemas. Las formas más comunes de ataques basados en contraseña son: 

Fuerza bruta: se basa en un software que va probando millones de contraseñas almacenadas en un fichero txt. Va intentando una a una hasta dar con la correcta. En junio de este año se dio a conocer la existencia del archivo RockYou2021, que contiene más de 8400 millones de contraseñas filtradas.

Ataque por diccionario: similar a lo anterior, solo que se van generando contraseñas basadas en patrones y no en un fichero específico.

Por ser LastPass un gestor de contraseñas, es mucho lo que hemos escrito en este tema, en este caso vamos a destacar lo básico que debe saberse para mantener este eslabón protegido.

El siguiente paso nos lleva a hacer un pequeño Test a modo de conocer si es necesario preocuparse o no por el uso correcto de las contraseñas y la ciberseguridad.

Guía de ciberataques – Test de protección de contraseñas

Esta es la evaluación inicial que debe hacerse para conocer si es necesario tomar acciones o no referente al uso de contraseñas. En esta guía de ciberataques las vulnerabilidades asociadas al mal uso de las contraseñas toman el primer puesto. Basta con que un par de preguntas sean respondidas con un NO para encontrarse en riesgo real de sufrir una filtración de datos.

Es muy común que las personas no tengan presente la necesidad de cuidar sus datos con mayor determinación. Incluso en muchos casos somos los propios usuarios los que facilitamos las intrusiones haciendo un uso indebido de las contraseñas. Esto es justo lo que vamos a ver a continuación.

Malos hábitos y errores en el uso de contraseñas

Antes de comenzar a mostrar los errores y malos hábitos en el uso de contraseñas, es necesario tener la tranquilidad de que todos los inconvenientes que se presentarán pueden ser solventados con un gestor de contraseñas como lo es LastPass. Después de ver las debilidades humanas, veremos cómo la suite de ciberseguridad los soluciona todos.

¿Por qué los usuarios tienen malas costumbres con el uso de contraseñas si la mayoría está consciente de ello?

Algunos de los errores más comunes son:

Emplear una contraseña única para todas aplicaciones

Esto hace vulnerable todas y cada una de ellas. Al momento de caer el password único, todas las cuentas vinculadas estarán comprometidas. Si por ejemplo la contraseña del GYM es la misma del correo empresarial, es posible que los hackers puedan atacar el GYM y luego ir por objetivos más grandes por medio del correo corporativo.

Lo recomendable en esta Guía de ciberataques es que cada aplicación tenga una contraseña firme y robusta, pero claro, si hemos perdido el hábito a memorizar cosas y puede verse en que el común de las personas no recuerda más de 10 números de teléfono de contactos. Es más difícil que pueda recordar contraseñas distintas con los parámetros correctos de seguridad para más de 90 aplicaciones o servicios, que este es el estimado mínimo que usa un profesional.

Usar contraseñas simples, débiles y fáciles de recordar

Conscientes de la cantidad de aplicaciones usadas por un profesional promedio, es una tarea muy compleja recordar passwords con mayúsculas, caracteres especiales, números y todos aleatorios. Lo que muchos ven como “solución” es emplear patrones. Hace unos años conocí al dueño de una empresa que prestaba servicios a una multinacional cuya clave del correo corporativo era: 12345678. Bien sabemos que los estándares modernos no dejarían emplear esa contraseña, pero las personas se inventan patrones predecibles.

La recomendación es alejarse de los patrones, los expertos recomiendan emplear tres palabras aleatorias, por ejemplo: ZorrilloPuertaAlambre, esto crea una contraseña larga y poco probable de predecir. El problema es recordar al menos unas 90 combinaciones distintas. 

Utilizar la información personal a modo de contraseña

Este es otro de los malos hábitos, dado que con el uso extenso de las redes sociales es mucha la información que se comparte con fines sociales y los delincuentes informáticos pueden tomar eso para predecir patrones de contraseñas: Si por ejemplo se tiene un perro llamado Toby y se montó en Instagram la celebración del cumpleaños el 01 de febrero, entonces usar una contraseña como Toby0102 es un error que deja las puertas abiertas a los atacantes.

En este caso se aconseja evitar emplear cualquier tipo de información personal, cero números de teléfonos, combinación de nombres y apellidos, fechas conmemorativas ni nada similar.

Guardar las contraseñas en el navegador

Es común que al momento de acceder a un nuevo servicio o aplicación web salte la pregunta de si desea guardar las contraseñas en el navegador. La mayoría de las personas responde que sí, de esta forma al tener que acceder nuevamente ya el navegador completa el dato. Hasta este punto todo está bien, el problema es que es muy simple acceder a la lista de claves, incluso algunos de ellos guarda los registros en un archivo de texto sin cifrar.

Esta es una práctica a la que hay que ir renunciando, cualquier pérdida o robo del equipo compromete todas las contraseñas. Incluso en el núcleo más cercano, cualquier familiar, compañero de trabajo o amigo que tenga acceso al ordenador también tendrá acceso a todas las contraseñas.

Uso de patrones sencillos

Nada que tenga que ver con las contraseñas puede ser sencillo, para hacer una analogía, es como dejar las puertas de casa sin seguro porque es más sencillo abrirlas y cerrarlas. O dejar las llaves puestas en la cerradura por ser más sencillo. Definitivamente la sencillez no tiene cabida cuando se trata de seguridad. Emplear patrones como QWERTY, 4n4b3l, C0ntr4s3ñ4 o cosas así deja la guardia baja ante un posible ataque.

Lo ideal es evitar los patrones, los delincuentes informáticos los conocen y sus herramientas de ataques están preparados para hacerles frente.

Poniendo fin a los malos hábitos y errores con el uso del gestor de contraseñas

Tal y como se señaló al iniciar este tema de la guía de ciberataques, el gestor de contraseñas resuelve todos estos problemas. ¿Cómo lo hace? veamos:

• Emplea y recuerda una contraseña única por cada aplicación o servicio.
• Establece contraseñas aleatorias y robustas en cada proceso de registro.
• Genera contraseñas libres de datos personales.
• Las contraseñas se almacenan en una bóveda cifrada cerrando así el paso a los hackers.
• No emplea ningún tipo de patrón al momento de crear las contraseñas.

Adicional a esto el gestor de contraseñas LastPass ofrece estas ventajas adicionales:

• Facilidad de uso y rapidez de acceso a aplicaciones y servicios web.
• Disminución de tickets de servicio por olvido de datos de acceso.
• Verificación de sitios web para loguearse.
• Autenticación Multifactor.
• Cumplimiento de estándares ENS.

Para concretar una prueba gratuita del gestor de contraseñas por favor completa el siguiente formulario. Esto sin cargo o TDC y sin ningún tipo de contrato de permanencia.

El papel del administrador de TI es vital para las empresas, y eso es algo que es proporcional al tamaño de la organización y el área de acción del modelo de negocio. Muchos profesionales se centran en sus propias tareas y el responsable de sistemas a veces queda olvidado por estar lejos de los focos.

Su rol es fundamental para que todos puedan realizar sus tareas vinculadas a sistemas informáticos de la mejor forma. Algunas de sus funciones pasan por mantener el software actualizado, responder a las consultas técnicas de los diferentes empleados, proteger a la empresa contra ciberamenazas y muchas otras responsabilidades vitales.

Por ser partners de una de las más representativas empresas de soluciones para teletrabajo como lo es LogMeIn, desde YooSell comprendemos perfectamente el papel de este profesional en cada una de las empresas y la forma en que muchos emplean LastPass para facilitar sus tareas diarias.

Conociendo un día cualquiera en el rol del administrador de TI

Cada uno de los días de un administrador de TI está rodeado de tareas urgentes e importantes. Inicialmente se comienza revisando los medios de información de la empresa, por lo general las posibles incidencias están en el correo o el chat. Luego le da una ojeada a la lista de pendientes, donde hay proyectos de corto, mediano y largo plazo; algunos de ellos pueden ser actualizaciones, mantenimientos y cambio de hardware y software. 

Ese es el inicio del día, pero es inevitable que a lo largo de la jornada salten las alarmas y la lista de prioridades se vea modificada. Es común que algún empleado pueda tener inconvenientes de inicio de sesión o hacer frente a amenazas que pudieran afectar la web empresarial. Para hacernos una idea de esto último podemos destacar un dato curioso expuesto por el departamento de seguridad de Estados Unidos. Los aviones F-35 reciben más ataques de hackers que de misiles enemigos. Esto nos lleva a pensar en la ardua labor de los administradores de TI encargados de su custodia.

A lo largo de la jornada laboral el administrador de TI debe priorizar todo lo urgente y dejar espacio para reuniones y proyectos futuros. Para que funcione correctamente este departamento dentro de una organización es necesario contar con herramientas tecnológicas, un equipo organizado, eficiente y proactivo que pueda anticiparse a los eventos para prevenir los desastres.

Como es de esperarse, muchas actividades en pocas horas de trabajo terminan en que no suelen alcanzar y es necesario que el administrador de TI y su equipo hagan horas extras. Otra de las razones es que el mantenimiento y actualizaciones se suelen hacer fuera del horario laboral para evitar molestias e incidencias de operatividad. Incluso, según la organización las 24 horas del día y los 365 días del año está el departamento de TI en operaciones.

Tal y como lo comenta Alan Quinteros, especialista en asistencia de TI de LogMeIn, el trabajo no termina nunca, siempre es necesario estar de guardia. “¿Qué ocurre si algo falla mientras duermo?.”

Funciones principales del administrador de TI

El objetivo principal radica en entender las necesidades técnicas que pueden presentar los empleados y compañeros. Facilitando los elementos que necesitan para desarrollar sus actividades es posible que sean más eficientes. Garantizar a cada persona de la empresa que el departamento técnico puede solventar lo más pronto posible cualquier incidente.

A pesar de esto, cada empresa tiene sus propias políticas y necesidades, pero para mencionar las funciones más comunes de un administrador de TI tenemos:

• Garantizar el correcto funcionamiento del software y hardware de la empresa.
• Activar todas las medidas para evitar daños causados por amenazas informáticas internas y externas.
• Evaluar la implementación de nuevas tecnologías.
• Dominar el uso y administración de la tecnología empleada en la empresa.
• Brindar un ecosistema seguro y fluido para el teletrabajo.
• Ofrecer sistemas de respaldo y restauración de datos.
• Mantener la formación personal en constante actualización.

LastPass Business dentro de la labor de un administrador de TI

Este gestor de contraseñas está pensado por administradores de TI para facilitar las labores de este departamento tan importante y que involucra a toda una organización. Una de las funciones es aplicar medidas de seguridad para proteger las cuentas de la empresa. Mantener un estándar de políticas de contraseñas y reducir los incidentes vinculados al acceso a aplicaciones y passwords. Con la centralización que ofrece LastPass se mejora la eficiencia del departamento de TI.

Cómo colaborar con el departamento de TI

Como parte de su trabajo incide en todos los campos de la empresa, de alguna forma está conectado con todos, por lo tanto para facilitar las labores de este departamento es importante tomar un rol activo como usuario responsable y proactivo en el uso de sistemas informáticos.

Algunas de las cosas que se pueden hacer para facilitar la labor de este departamento son:

• Mantener una conducta activa en materia de ciberseguridad, uso de contraseñas y autenticación multifactor.
• Asistir a posibles capacitaciones para la prevención de amenazas digitales.
• Notificar con todos los detalles posibles cualquier incidente técnico.
• Informar cualquier violación de datos, suplantación de identidad, ataque de phishing o cualquier amenaza detectada.
• Usar tecnologías y dispositivos aprobados por la empresa.
• Recordar que son personas y este cargo está involucrado con toda la organización, así que tener un poco de paciencia.

El trabajo de un administrador de TI puede llegar a ser muy estresante, por lo general se reciben todos los reclamos y pocos elogios. Es necesario tener conciencia como usuarios y evitar los errores humanos que vulneran la seguridad de los sistemas.

Del buen funcionamiento de una empresa todos son los responsables. Si en la tuya aún no hacen uso de un gestor de contraseñas como primera línea de protección debes informar sobre esto. Si todos cuidan la seguridad, todos salen ganando.

Para conocer con detalle lo que LastPass puede hacer para facilitar las labores del administrador de TI basta con completar el siguiente formulario para conseguir una prueba gratuita, sin TDC y sin compromisos de permanencia.

Las estadísticas señalan que el factor humano es el principal responsable de las vulnerabilidades en ciberseguridad. Ante esto los hackers centran sus esfuerzos en engañar a las personas para que hagan ciertas acciones que ellos desean. Recientemente se ha visto un incremento en la suplantación de identidad en redes sociales. 

¿Por qué se han expandido a las redes sociales? Según datos de Backlinko desde su creación en 1996, las RRSS han logrado un nivel de penetración de poco más de la mitad de la población mundial que asciende a 7.700 millones de personas. En la última década se han cuadruplicado los usuarios. Para el 2010 había 970 millones de internautas en las redes. Y en julio del 2021 se registra una cifra de 4.480 millones de usuarios.

Con los números antes vistos, no es de sorprenderse que los ciberdelincuentes hayan centrado sus miradas a estos objetivos con un impacto tan rotundo en la población mundial.

Top 10 de suplantación de identidad con fines de phishing por marcas en el tercer trimestre del 2021

Según Check Point, estas son las marcas que más utilizan los hackers en los ataques de phishing y su porcentaje corresponde a la cantidad de veces en que fueron usadas en suplantación de identidad en base a un 100% de ataques detectados.

• 29% Microsoft 
• 13% Amazon 
• 9% DHL
• 8% Bestbuy
• 6% Google
• 3% WhatsApp
• 2.6% Netflix
• 2.5% LinkedIn
• 2.3%Paypal
• 2.2% Facebook

¿Por qué la mayoría de los ataques se centran en la ingeniería social?

Hay que recordar que la mayoría de los ataques están basados en la ingeniería social. Es decir, en la vulnerabilidad humana. ¿Por qué se hace así?. El motivo es que ataques más especializados requieren de más recursos tanto tecnológicos como humanos. 

Podemos poner de ejemplo el ataque efectuado a SolarWinds que es identificado “desde el punto de vista de ingeniería del software como el ataque más grande y sofisticado que el mundo haya visto.” según Brad Smith de Microsoft. 

Ahora bien, se estima que para llevar a cabo dicho ataque, se necesitó de la participación de aproximadamente 1.000 ingenieros de software. Esto nos lleva a pensar en lo complejo que puede ser vulnerar un sistema desde sus adentros, desde la programación del sitio. 

Tipos de suplantación de identidad en las redes sociales

Los ataques no siempre tienen la misma estructura, todo va a depender del plan del que lo esté organizando. Sin embargo, vamos a presentar los más comunes a fin de orientar sobre su prevención.

Suplantación de identidad de marca

Las marcas se han ganado la confianza del público gracias a su trayectoría y años de presencia acertada. Conscientes de esto los atacantes se enfocan en la suplantación de identidad de las más reconocidas para afianzar el punto de confianza y empatía con el objeto de la amenaza. No es igual recibir un correo falso, creado impecablemente de parte de un hacker que se hace pasar por Google para intentar pescar las credenciales de una persona, que un correo con las mismas intenciones de un personaje desconocido de la web.

Ellos conocen el comportamiento humano, donde el dinamismo nos lleva muchas veces a actuar de manera autómata y aceptar todo aquello que nos resulta familiar e invita a darnos protección y beneficios.

Con los números presentados de penetración de las redes sociales no es de extrañar que existan mensajes como el de la directora del Whatsapp que invita a confirmar la cuenta para que no sea eliminada. O estrategias como el correo donde Google nos invita a reforzar la seguridad de la cuenta y dirige a un sitio malicioso. Como también la invitación de Linkedin a su nuevo programa de negocios pidiendo ingresar nuevamente a la plataforma y abrir un archivo que dentro contiene macros. 

Suplantación de identidad de un personaje famoso

Seguimos en la línea de que el centro de los ataques es la ingeniería social aplicada. Recientemente la OSI ha publicado un escrito donde afirman haber registrado una oleada de casos de suplantación de identidad en cuentas de Instagram y Onlyfans con fraudes dirigidos hacia sus seguidores. A groso modo se detectan dos estrategias:

Sorteo como elemento de engaño: La estrategia se centra en suplantar un personaje que esté realizando un sorteo, crear una cuenta idéntica a la que se desea clonar, y comenzar a seguir a los seguidores del concurso de la cuenta original. El siguiente paso se da desde la cuenta clon, se inicia una campaña de mensajes privados donde se le informa a los objetivos que han resultado ganadores del sorteo, pero que deben ingresar sus datos en un enlace equis y ahí ya sabemos que comienza la pesca de datos.

Seguimiento de redes explícitas: Otra de las formas detectadas es haciendo uso de figuras femeninas que son altamente seguidas por el contenido que comparten en sus redes. Similar al caso anterior, se crea una cuenta clon y desde ella se comienza a ofrecer una invitación a alguna red de pago como OnlyFans y allí se comienza la estafa a la persona incauta.

Suplantación de identidad de amigos

Esta es otra de las modalidades, si por alguna razón las credenciales de una red social de alguna persona son comprometidas, es probable que el atacante comience a crear mensajes generando intriga y emocionalidad. Algunos ejemplos podrían ser: No creerás lo que ves, o Mira cómo gané $ 200,000 en 10 minutos. Si alguno de los amigos hace clic en esos enlaces comienza la recaudación de datos que pueden terminar en una estafa a quien los proporciona.

Las consecuencias de una infracción

Proofpoint detalla las consecuencias más comunes y las agrupa en las siguientes categorías.

Tiempo de inactividad del usuario.

Tiempo de corrección.

Daño a la reputación.

Pérdida de propiedad intelectual.

Pérdidas monetarias directas.

Multas de cumplimiento.

Costos de respuesta y remediación.

Pérdida de ingresos y clientes.

Honorarios legales.

A pesar de lo que puede pensarse, la pérdida económica no es lo que más preocupa a las personas y empresas como consecuencia de los ataques de phishing de suplantación de identidad en redes sociales. El estudio de Proofpoint arrojó que las consecuencias más resaltantes son:

Consecuencias de la suplantación de identidad que más preocupa a las personas y empresas

• 60% Datos perdidos.
• 52% Cuentas o credenciales comprometidas.
• 47% Infecciones de ransomware.
• 29% Infecciones de malware.
• 18% Pérdida financiera.

Cómo prevenir los ataques de suplantación de identidad

Desde el punto de vista empresarial o de un personaje público no hay mucho que se pueda hacer para prevenir esto. ¿De qué manera se puede evitar que alguien decida crear un perfil clonado de alguien? Esto es algo que ha tenido cabida toda la vida, incluso antes de la existencia de las redes sociales.

Partiendo de esa base nos queda solo el espacio en el que sí podemos tomar decisiones y acciones. ¿Qué hacemos como usuarios? Todo se centra en esto, en qué tanta perspicacia empleamos a la hora de usar las redes sociales. Algunas de las recomendaciones son:

1. Usar un gestor de contraseñas para hacer un seguimiento exhaustivo y automático de las URL de destino, al tiempo que refuerza la seguridad de las contraseñas creando unas únicas e irrepetibles para cada aplicación.

2. No seguir enlaces con cosas que parezcan demasiado geniales para ser verdad, es necesario usar un poco la malicia y no creerlo todo.

3. Pocas veces las redes sociales nos van a pedir información con carácter de urgencia, de ser así, estar muy atentos a las URL de destino. Si no se reconocen, no seguir los enlaces ni proporcionar información sensible.

4. Es posible que los sitios suplantados no cuiden detalles como la gramática, si se observan muchos fallos en la escritura es muy probable que sea un sitio falso.

5. No aceptar solicitudes de amistad de extraños.

6. Mantener el antivirus y el sistema operativo actualizado.

7. Evitar abrir archivos o enlaces sospechosos, no los abra, salvo que sean de un remitente de confianza.

8. En caso de tratarse de una empresa, ofrecer capacitación a los empleados sobre los temas de ciberseguridad y phishing.

Desde Lasspast estamos comprometidos con mantener un internet seguro. Las redes sociales están hechas para conectarnos y divertirnos, no dejes que personas inescrupulosas las arruinen a ti, a tu familia, colegas y amigos. 

Para conocer la manera en que podemos ofrecer protección de estos posibles ataques es necesario rellenar los datos de este formulario para entrar en una prueba gratuita y sin compromiso de permanencia.

Según cifras del APWG tenemos que durante el 2020 se duplicó la cantidad de ataques phishing en referencia al 2019. Esto va de la mano con las consecuencias de la pandemia del COVID-19 y la cantidad de puestos de trabajo que se han movido a los hogares. Todo esto ha sido el escenario perfecto para los delincuentes digitales que se aprovechan de las posibles vulnerabilidades que se dan fuera de la oficina. 

Las estadísticas señalan que en enero del 2021 se registró un pico histórico de 245.771 sitios dedicados al phishing en el transcurso de un mismo mes. Los ataques phishing, smishing (texto o SMS) y vishing (llamada de voz) siempre shan tenido una curva de aumento y no existe nada que indique que esa tendencia pueda decaer.

Aprovechando los últimos días del mes de la concienciación sobre la ciberseguridad desde Lastpass hemos reunido un grupo de consejos que pretende mantenerle alejado de estos ataques.

Cómo protegerse de los ataques phishing

Elegir un navegador que proteja de estas amenazas

Esta es una medida que a muchos les podrá parecer extraña. Sin embargo, un estudio reciente hecho a los principales navegadores web por parte de OCU demostró que no todos ofrecen la misma protección. Se tomó un muestreo de 800 páginas con ataques phishing. Los resultados arrojaron que el navegador Mozilla Firefox y el Microsoft Edge bloquearon más del 80% de las amenazas. 

A pesar de que el Google Chrome es uno de los navegadores más usados, solo pudo bloquear el 56% de las amenazas con el sistema operativo Windows y un 63% con Mac. 一Lo anterior tiene sentido dado que el Chrome es el más popular, por eso los hackers crean la mayoría de sus ataques phishing para poder vulnerar la seguridad de este navegador.一

Usar un antivirus con protección antiphishing

No todos los antivirus son capaces de detectar ataques phishing, pero la acción conjunta de uno que tenga este parámetro presente con la protección que ofrece el navegador pueden reducir las amenazas hasta en un 96%. Para que su efectividad sea elevada, es necesario mantenerlo actualizado.

Revisar cada mensaje minuciosamente indistintamente en canal del que vengan

Vimos en el artículo de seguridad del correo electrónico que este es el medio digital por excelencia, no es de extrañar que sea el principal canal del phishing. Pero no hay que bajar la guardía, estudios recientes han ofrecido cifras que demuestran que los atacantes están empleando otros medios como SMS, redes sociales y llamadas. Después de todo ellos se basan en el principio de la ingeniería social por lo que solo desean transmitir un mensaje que cause una emocionalidad en el objeto de estafa.

Lo recomendable es mantener el mismo nivel de atención que se presta a un mensaje que llega por correo electrónico. 

一Por contar una anécdota, hace más de 15 años recibí una llamada donde supuestamente me había ganado el premio de una lotería nacional, la verdad es que nunca jugaba nada similar. Me era indicado que para acceder al premio millonario debía enviar los códigos de unas recargas telefónicas. Inmediatamente se me activó el lado capcioso y descarté la llamada. Poco después me enteré que era una banda organizada que había estafado a miles de personas con la misma técnica.一

Comprobar la dirección del remitente

Es probable que el atacante haga uso de un nombre similar al de alguien de quien acostumbra recibir correos. La idea es que a simple vista parezca idéntica a la dirección original. Por ejemplificar, supongase que se acostumbra a recibir correos del Banco Santader, y la dirección empleada es: atcliente@bancosantander.es ahora, viene un ciberdelincuente y se crea una dirección como esta: atcliente@bancosantander.live. 

Es sumamente importante estar atentos a esto, dado que una pequeña diferencia en la dirección podría ser la puerta para los ciberdelincuentes. 

Como sugerencia adicional, los mensajes de texto de números con pocos dígitos suelen ser enviados por sistemas automatizados. Es importante aplicar las mismas precauciones, en caso de contener enlaces se recomienda no abrirlos a menos de que se tenga certeza de la fuente.

Confiar en la intuición

La ingeniería social se basa en la emocionalidad. Puede estar fundamentada en empatía, confianza, miedo, alegría y otras emociones. En muchos casos se aferran a la confianza que se puede tener en empresas de renombre, amigos, familiares y compañeros de trabajo. Si recibe mensajes que no son comunes, o que vienen acompañados de una petición urgente, lo más seguro es que esa persona haya sido víctima de un hacker. 

Ante esto lo mejor es ir a la fuente, llamar directamente al banco, contactar a la persona por una llamada para verificar eso que pudo haber llegado por SMS o Whatsapp.

Identificar sitios de ataques phishing con un gestor de contraseñas

Lastpass ofrece el gestor de contraseñas más reconocido. Lo interesante aquí es que además de generar y almacenar de manera cifrada passwords largas e irrepetibles, tiene la capacidad de identificar sitios web de phishing.

¿Cómo es esto posible? Además de almacenar lo anterior, al momento en que una web solicita las credenciales, se hace una comprobación de la URL. Si alguien suplanta la identidad de alguna web con fines maliciosos, no podrá suplantar la URL original. Por ejemplificar: llega un mensaje que según es del banco, todo se ve idéntico al original, pero resulta que el gestor de contraseñas no reconoce la URL y por tanto no rellena automáticamente las credenciales. Es muy probable que se trate de un sitio falso que conduzca a posibles ataques phishing.

Poner atención a esto puede marcar la diferencia entre entregar las credenciales a un hacker o no.

Evitar aceptar todas las autenticaciones multifactor por inercia (MFA)

Los múltiples factores de autenticación o MFA ayudan a poner una barrera extra para la verificación de la identidad. Pero muchas veces algunas personas se acostumbran tanto a ellas que las aprueban sin más. Es como tener una puerta con doble cerradura pero dejar una siempre abierta, sin duda no está realizando ninguna función de seguridad. 

Los MFA son solicitados cuando se intenta entrar a un sitio que previamente se ha configurado para tener esta prevención. Pero si no se está iniciando sesión en ningún sitio o se está realizando una operación que requiera esto. ¿Para qué se va a aprobar de manera autómata el MFA?

Además de estos consejos para evitar ataques phishing, descubra cómo LastPass protege la vida digital rellenando este formulario que lleva a una prueba gratuita y sin compromiso alguno.

Entendiendo que el email tiene una relevancia suprema en el planeta, es necesario tomarse muy seriamente la seguridad del correo electrónico. Al momento de verse comprometida una cuenta de correos puede poner en manos de personas inescrupulosas información de carácter personal y empresarial que coloca en riesgo nuestra dinámica.

En los emails se suele compartir información de alta relevancia. Generalmente está asociado a las cuentas bancarias, historiales médicos, cuentas empresariales, acceso a múltiples aplicaciones, redes sociales, información personal confidencial y mucho más. Un hacker con experiencia ve en todo esto un verdadero tesoro y puede usarlo para extorsionar a la víctima, venderlo a terceros, usarlo para suplantación de identidad, listas de marketing, estafas y más.

Según las estadísticas del 2020 se evidencia que los emails son responsables de propagar el 94% del malware. Cada 40 segundos se lanza un ciberataque. Este año se ha registrado un aumento del 400% anual de los ataques de ransomware. Diariamente se detectan y bloquean más de 25.000 aplicaciones maliciosas y se estima que poco más de 30.000 páginas web son hackeadas cada día.

6 señales de que la seguridad del correo electrónico puede estar comprometida

Al momento en que la seguridad del correo electrónico se ve vulnerada, es posible que los atacantes comiencen a realizar acciones que van dejando huella; las más comunes son:

1. Intentos inusuales o fallidos de entrar a la cuenta, o inicios de sesión desde ubicaciones desconocidas. 
2. Imposibilidad de entrar a la cuenta de correo electrónico con los datos de acceso habituales de usuario y contraseña.
3. Pérdida de información o correos sin conocimiento de haberlos eliminado.
4. Compras sospechosas con cargos a cuentas bancarias.
5. Solicitudes no deseadas o inusuales a personas de la lista de contactos.
6. Envío de correos desconocidos a contactos o ajenos.

El que una cuenta de correo haya sido hackeada representa un verdadero problema que debe ser resuelto. Según su relevancia, es posible que sea necesario contactar al departamento de seguridad informática o el área de delitos informáticos para dar el parte y atender las posibles consecuencias.

Cómo mejorar la seguridad del correo electrónico y disminuir los riesgos de ciberataques

Antes que nada es importante saber que no existen medidas que conduzcan a un 100% de protección. Lo que sí podemos hacer es elevar los niveles de seguridad del correo electrónico para que la probabilidad de ser víctimas de filtraciones de datos se vean reducidas al mínimo.

Usar un gestor de contraseñas

Esta herramienta permite que se pueda usar una contraseña independiente para cada aplicación, evitando reusarlas y deja de lado la necesidad de recordarlas. Al ser almacenadas en una bóveda encriptada todos los datos estarán resguardados. Adicionalmente permiten el acceso rápido de sesión dado que se completan los datos de manera automática. 

Evitar acceder a sitios importantes desde redes no reconocidas

El WiFi gratis en lugares públicos puede ser usado para cosas puntuales. No se recomienda hacer compras con TDC, consultar cuentas bancarias o información sensible. En general hay que evitar estas redes pues son los principales puntos de mira de posibles ataques de hackers.

Mantener apagados el GPS, seguimiento geográfico y la conexión inalámbrica

Mediante estas aplicaciones los piratas informáticos pueden acceder a funciones del teléfono que conducen a información, ubicación y conexión. Encienda estos servicios sólo cuando sea necesario.

Elegir sabiamente las aplicaciones

Es importante instalar solo aplicaciones necesarias y de fuentes reconocidas. Además desechar las que no se usan. Si no existe seguridad de la fuente debe evitarse hacer clics en vínculos y descargar archivos.

Protección ante un posible robo del móvil

Para tener un resguardo en caso de robo o pérdida, es importante configurar el equipo para que se bloquee después de un número preestablecido de intentos de inicio de sesión no reconocidos.

Qué hacer en caso de que el email haya sido hackeado

Ejecutar un análisis profundo con el antivirus

Este es el primer paso, dado que muchos de los ataques están destinados a instalar programas espías o keyloggers. Es necesario saltarse la limpieza rápida y hacer un escaneo extensivo y profundo de todos los dispositivos afectados. Es importante que esto sea lo primero que se haga antes de introducir nuevamente información sensible.

Modificar todas las contraseñas

Una vez que se haya limpiado el equipo de cualquier programa malicioso, es momento de cambiar las contraseñas. De este tema hemos hablado mucho al ser Lastpass un gestor de passwords. Una referencia de qué hacer para tener contraseñas seguras se puede ver en el artículo de psicología de las contraseñas. Lo recomendable es cambiar todas las contraseñas de las aplicaciones bancos, tarjetas de crédito, redes sociales, registros médicos; en general todas, por más superfluas que consideres alguna aplicación.

Informar a los contactos

Muchas veces el propósito de acceder a la cuenta de correo de alguien es tener acceso a la lista de contacto para cometer alguna estafa o engaño. Teniendo esto presente es importante notificar a la lista de contactos para que estén al tanto de que probablemente puedan recibir información que no ha sido enviada por el titular de la cuenta.

Cambiar preguntas de seguridad

Es posible que al vulnerar la seguridad del correo electrónico se vean comprometidas las respuestas de seguridad. Lo recomendable es cambiarlas.

Estar un paso por delante de los piratas informáticos

Por lo general los hackers emplean la ingeniería social para buscar la respuesta de sus víctimas. Los mensajes suelen contener ofertas asombrosas, o premios sin haber participado en ningún concurso. Otra de las formas es solicitar información bancaria, transmitiendo la necesidad de urgencia, miedo o emociones. En general se basan en la manipulación psicológica para que personas con poca malicia o empleados desprevenidos puedan entregar información sensible.

Hay una regla general que aplica en este caso. Cuando algo es tan bueno o asombroso para ser verdad, detrás de eso hay un engaño a alguna persona o entidad. Está demostrado que el eslabón débil de la ciberseguridad es mayoritariamente el factor humano.

Por lo general los ciberdelincuentes comprenden que el factor humano es el más vulnerable, es por ello que la mayoría de los esfuerzos se centran en conseguir de estos las credenciales y accesos. Eso es mucho más simple que descubrir la forma de piratear un software en específico. 

Para conocer la forma en que Lastpass puede reforzar la seguridad del correo electrónico personal y empresarial basta con completar este formulario. Esto conduce a una prueba gratuita y sin compromiso del gestor de contraseñas.

Adicionalmente cada día somos más dependientes de internet, aplicaciones y servicios web basados en la nube. Esto supone un desafío para las empresas para poder garantizar a los empleados accesos fluidos y seguros. Una de las propuestas que ha brindado mejores soluciones está basada en el inicio de sesión único. (SSO). Esto permite centralizar las entradas, identidades y resguardo de datos a diferentes aplicaciones en la nube.

Okta es desde el 2009 una de las alternativas que muchas empresas han tomado para resguardar sus datos. Esta propuesta de SSO está basada en la nube y es líder en administración de identidad, compatible con aplicaciones SaaS, locales on-premise y móviles.

Sin embargo la propuesta de SSO deja vacíos que deben ser cubiertos. Estos huecos comienzan porque hay aplicaciones que no admiten la tecnología SSO. Además existen muchísimos servicios que los empleados pueden desarrollar sin incluir los parámetros de TI que puedan ser compatibles con SSO. Todo esto crea caldo de cultivo para los piratas informáticos, dado que cada inicio de sesión es una puerta de entrada que puede representar un riesgo potencial.

Para cubrir las debilidades anteriores se presenta la integración Okta y Lastpass, este último como un gestor de contraseñas empresariales que sirve de complemento al SSO consiguiendo así proteger todos los puntos de acceso de una empresa. La integración que ofrecemos es compatible con la mayoría de proveedores SSO, dando así un refuerzo extra que permite flexibilidad en la gestión de los puntos de accesos. Al adoptar esta dupla se cubren las aplicaciones que admiten SSO, las que no soportan esa tecnología y las que son de origen desconocido.

En las empresas que tienen contratado Okta Single Sign-On pueden aprovechar la integración APi SCIM del administrador de contraseñas de Lastpass para maximizar el control de los puntos de acceso elevando la seguridad dado que se abarcan todos los posibles casos donde es necesario comprobar la identidad del usuario.

Cómo puede Lastpass ayudar a las empresas que usan Okta

Lastpass ofrece una solución integral lista para usar que permite centralizar todas las contraseñas empleadas de manera individual o que deben ser compartidas. Esto sin que los servicios cuenten con la tecnología SSO, TI o cualquier otra variante.

Al invertir en Lastpass una empresa podrá: 

• Cubrir las brechas dejadas por los servicios y aplicaciones que no son compatibles con SSO.
• Ayudar al equipo de TI a cumplir con los controles de seguridad necesarios en aplicaciones y servicios usados por los empleados.
• Facilitar el intercambio de contraseñas dentro de una organización.
• Evitar la reutilización de contraseñas, el establecimiento de contraseñas únicas o passwords débiles.

De qué manera se da la integración Okta y Lastpass

LogMein se ha asociado con Okta para permitir la gestión de Lastpass. Por medio de la API SCIM se puede dar a los usuarios las facultades para ingresar a distintos puntos de acceso, aplicaciones y servicios dentro de una empresa. Okta puede configurarse para la creación de cuentas de Lastpass de manera instantánea, al tiempo que permite revocar los permisos cuando los empleados dejan la empresa. Esto es algo que sin duda favorece la gestión de la seguridad por parte de los equipos de TI. Los usuarios de Okta pueden beneficiarse del inicio de sesión simple pero muy seguro que ofrece Lastpass. Creando así la dupla Okta y Lastpass que fortalece la seguridad empresarial.

La seguridad flexible de Lastpass

Lastpass ofrece flexibilidad a los equipos de TI, la posibilidad de resguardar cada punto de acceso que ofrecemos es compatible con absolutamente todas las opciones de identificación. Nuestra tecnología permite facilitar el tener que compartir contraseñas entre empleados, logrando identificar quién ha usado cual en cada momento, algo que favorece las relaciones entre compañeros de trabajo.

Como hemos podido ver, Okta es el primer paso a la protección de datos y los puntos de acceso, pero al conseguir el complemento de Lastpass se llega a un nivel muy superior de protección. Recuerde que más vale invertir en seguridad y tener los costos controlados, que dejar de hacerlo y ser víctima de extorsiones por parte de delincuentes informáticos. Sin duda la dupla de Okta y Lastpass es un resguardo muy sólido para su empresa.

Para conocer de qué manera puede Lastpass proteger sus datos y los de su empresa le pedimos pueda completar el siguiente formulario para recibir una demostración gratuita sin compromisos y sin datos bancarios.